BGH-Urteil klärt DSGVO-Verantwortung: Wer haftet bei Datenschutzverstößen wirklich?
Wenzel Weinhold
BGH-Urteil klärt DSGVO-Verantwortung: Wer haftet bei Datenschutzverstößen wirklich?
Bundesgerichtshof klärt Verantwortung für Datenschutz nach DSGVO
Der Bundesgerichtshof (BGH) hat in einem Grundsatzurteil festgelegt, wer nach der Datenschutz-Grundverordnung (DSGVO) für den Schutz personenbezogener Daten verantwortlich ist. In einer Entscheidung vom 7. Oktober 2025 bestätigte das Gericht, dass Beschäftigte in der Regel nicht als "Verantwortliche" im Sinne der Verordnung einzustufen sind. Dies hat Auswirkungen darauf, wie die Haftung bei rechtswidrigem Umgang mit Daten zugeordnet wird.
Das Urteil fällt in eine Phase, in der Behörden vermehrt individuelles Fehlverhalten ahnden. Erst kürzlich wurde ein Polizist in Baden-Württemberg mit einem Bußgeld von 3.500 Euro belegt, weil er unberechtigt auf Melderegisterdaten einer Frau zugegriffen hatte. Allein in Hamburg wurden in diesem Jahr bereits sechs ähnliche Fälle mit Geldstrafen geahndet.
Im Mittelpunkt der BGH-Entscheidung steht die Definition des "Verantwortlichen" nach den DSGVO-Regeln. Das Gericht argumentiert, dass Beschäftigte in der Regel im Auftrag ihres Arbeitgebers handeln und nicht als eigenständige Verantwortliche agieren. Sie folgen demnach Weisungen, statt selbst die Regeln für die Datenverarbeitung festzulegen.
Diese Einordnung ist von zentraler Bedeutung, da die Hauptpflichten – wie Transparenz, die Wahrung der Betroffenenrechte und die Umsetzung von Sicherheitsmaßnahmen – bei den Verantwortlichen liegen. Verstoßen Beschäftigte gegen diese Vorgaben, handeln sie eigenmächtig und müssen persönlich für die Folgen einstehen. Aktuelle Bußgeldbescheide zeigen die Konsequenzen solcher Verstöße auf: In Baden-Württemberg griff ein Beamter ohne berechtigten Grund auf private Daten zu, und die Hamburger Datenschutzbehörde (HmbBfDI) hat in diesem Jahr bereits sechs Mitarbeiter des öffentlichen Dienstes wegen vergleichbarer Vergehen bestraft. Diese Fälle verdeutlichen, wie individuelles Fehlverhalten direkt zu Sanktionen führen kann.
Das BGH-Urteil klärt nicht alle denkbaren Konstellationen, schafft aber mehr Rechtssicherheit. Frühere Entscheidungen aus März und Oktober 2025 hatten zwar verwandte DSGVO-Fragen behandelt, nicht jedoch die spezifische Verantwortungsfrage. Die aktuelle Rechtsprechung schließt diese Lücke und unterstreicht, dass primär die Arbeitgeber – und nicht die Beschäftigten – für die Einhaltung der Vorschriften verantwortlich sind.
Die Entscheidung stärkt die Trennung zwischen Arbeitgebern und Arbeitnehmern bei der DSGVO-Durchsetzung. Während Unternehmen und Behörden weiterhin die Hauptverantwortung für den Datenschutz tragen, müssen Beschäftigte, die ihre Zugriffsrechte missbrauchen, mit persönlichen Konsequenzen rechnen.
Angesichts der bereits in diesem Jahr verhängten Bußgelder betont das Urteil die Bedeutung eines korrekten Umgangs mit Daten. Die Aufsichtsbehörden setzen die Regeln konsequent durch – sowohl Organisationen als auch Mitarbeiter sind daher gut beraten, sie einzuhalten, um Strafen zu vermeiden.
